InformatikKFM 17 Geschrieben 14. Juli 2014 Melden Teilen Geschrieben 14. Juli 2014 Hallo Forum! ich musste heute feststellen, dass sich einer meiner DCs, an einem anderen Standort, verabschiedet hat. Wie ist jetzt der Best-Practive Way um den Fehler zu beheben? Folgende EventID wurde protokolliert: Es ist zu lange her, dass dieser Computer zuletzt mit dem genannten Quellcomputer repliziert wurde. Die Zeit zwischen den Replikationen mit dieser Quelle hat die Tombstone-Verfallszeit überschritten. Die Replikation mit dieser Quelle wurde beendet. Das Fortsetzen der Replikation wird nicht zugelassen, da die beiden Domänencontroller ggf. veraltete Objekte enthalten. Objekte, die von einer Active Directory-Domänendienste-Partition gelöscht und in die Sammlung veralteter Objekte aufgenommen wurden, aber nach wie vor in den beschreibbaren Partitionen anderer Domänencontroller innerhalb der gleichen Domäne vorhanden sind, werden als "veraltete Objekte" bezeichnet. Falls die Replikation des lokalen Zieldomänencontrollers mit dem Quelldomänencontroller zulässig wäre, würden diese potentiellen veralteten Objekte in der lokalen Active Directory-Domänendienste-Datenbank neu erstellt werden. Zeitpunkt der letzten erfolgreichen Replikation:2013-06-23 09:15:06Aufruf-ID der Quelle:c8b5743c-c6c7-46ac-b2f1-d671b45624deName des Quellverzeichnisservers:04cc8add-c233-439b-ba6c-e16f4d741def._msdcs.meinedomain.localTombstone-Verfallszeit(Tage):60 Fehler beim Replikationsvorgang. Benutzeraktion: Den Aktionsplan zum Beheben dieses Fehlers finden Sie unter "http://support.microsoft.com/?id=314282". Handelt es sich bei Quell- und Zieldomänencontrollern um Windows 2003-Serverdomänencontroller, installieren Sie die Supporttools auf der Installations-CD. Um die zu löschenden Objekte anzuzeigen, ohne sie tatsächlich zu löschen, führen Sie die Option "repadmin /removelingeringobjects <Quell-DC> <Ziel-DC-DSA-GUID> <NC> /ADVISORY_MODE" aus. Die Ereignisprotokolle auf dem Quelldomänencontroller listen alle veralteten Objekte auf. Führen Sie zum Entfernen verbleibender Objekte von einem Quelldomänencontroller "repadmin /removelingeringobjects <Quell-DC> <Ziel-DC-DSA-GUID> <NC>" aus. Handelt es sich bei dem Quell- oder Zieldomänencontroller um einen Windows 2000-Serverdomänencontroller, erhalten Sie unter "http://support.microsoft.com/?id=314282" oder von Ihrem Microsoft-Support weitere Informationen. Muss die Active Directory-Domänendienste-Replikation unbedingt sofort funktionieren, und haben Sie keine Zeit, veraltete Objekte zu entfernen, aktivieren Sie die Replikation durch Festlegen des folgenden Registrierungsschlüssels auf einen Wert ungleich Null: Registrierungsschlüssel:HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner Durch Replikationsfehler zwischen Domänencontrollern mit gemeinsamer Partition kann verhindert werden, dass Benutzer- und Computerkonten, Vertrauensstellungen, ihre Kennwörter, Sicherheitsgruppen, Sicherheitsgruppenmitgliedschaften und andere Active Directory-Domänendienste-Konfigurationsdaten zwischen Domänencontrollern variieren. Das beeinflusst die Möglichkeit, sich anzumelden, wichtige Objekte zu finden und andere wichtige Vorgänge auszuführen. Diese Inkonsistenzen treten nach Beheben der Replikationsfehler nicht mehr auf. Domänencontroller, die keine eingehenden gelöschten Objekte innerhalb der Tombstone-Verfallszeit replizieren, bleiben so lange inkonsistent, bis veraltete Objekte manuell von einem Administrator jedes lokalen Domänencontrollers entfernt werden. Zudem ist die Replikation nach Festlegung dieses Registrierungsschlüssels ggf. weiterhin blockiert. Dies hängt davon ab, ob veraltete Objekte sofort gefunden werden. Alternative Benutzeraktion: Nehmen Sie eine Herabstufung vor, oder installieren Sie die Domänencontroller, deren Verbindung getrennt wurde. An dem Standort fungiert er als DHCP, DNS und GC. Ich hatte jetzt die Überlegung, folgendes anzustrengend: - Den DC via DCPromo herabstufen - Ein metadata cleanup durchführen - Den DC via DCPromo heraufstufen Aber was passiert mit der DHCP/DNS Server Konfiguration? Bleibt Sie erhalten? Oder muss ich alles erneut konfigurieren?Es handelt sich um einen Server 2008 R2. Gruß Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 14. Juli 2014 Melden Teilen Geschrieben 14. Juli 2014 DHCP bleibt erhalten und DNS kommt ja per AD Replikation zurück. ;) Bye Norbert Zitieren Link zu diesem Kommentar
InformatikKFM 17 Geschrieben 14. Juli 2014 Autor Melden Teilen Geschrieben 14. Juli 2014 (bearbeitet) Hallo, oder lässt sich der Fehler evtl. auch mit den Tips aus dem Beitrag http://www.mcseboard.de/topic/170141-2x-dcs-replikationsfehler-tombstone-ablaufzeit-%C3%BCberschritten/ beheben? Sprich:- Datensicherung - Registry-Key "Allow Replication With Divergent and Corrupt Partner" auf dem noch funktionierendem DC erstellen - Replikation anschmeißen - Eventlog überprüfen und bei Erfolg den Wert auf 0 ändern. ?Gruß bearbeitet 14. Juli 2014 von InformatikKFM Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 14. Juli 2014 Melden Teilen Geschrieben 14. Juli 2014 Ich würde dcpromo vorziehen. Zitieren Link zu diesem Kommentar
InformatikKFM 17 Geschrieben 14. Juli 2014 Autor Melden Teilen Geschrieben 14. Juli 2014 Okay, DCPROMO scheitert. Selbe Fehlermeldung wie oben - Tombstone überschritten. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 14. Juli 2014 Melden Teilen Geschrieben 14. Juli 2014 dcpromo /forceremoval sollte bekannt sein in solchen Fällen. ;) Zitieren Link zu diesem Kommentar
InformatikKFM 17 Geschrieben 15. Juli 2014 Autor Melden Teilen Geschrieben 15. Juli 2014 Ich zerschlage mir immer noch ein Kopf darum ob ich nun dcpromo oder doch den RegKey nehmen sollte. Wer von euch hat Erfahrungen mit dem RegKey? Komischerweise lief die AD seit Jahren ohne Probleme, nur jetzt fing der eine DC an zu spucken. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 15. Juli 2014 Melden Teilen Geschrieben 15. Juli 2014 Du glaubst mir nicht, dass DCPromo sicher einfacher und sauberer ist, als jetzt an einer wie auch immer schon "versauten" AD rumzubasteln? Ja, es ginge auch, aber ich würde das nicht tun. Bye Norbert Zitieren Link zu diesem Kommentar
InformatikKFM 17 Geschrieben 15. Juli 2014 Autor Melden Teilen Geschrieben 15. Juli 2014 Okay, also mache ich es wie folgt? - Systemsicherung von beiden DCs #Datensicherung - dcpromo /forceremoval #Entfernen der AD Struktur und herabstufen zum Member Server - metadata cleanup #Bereinigen der restlichen Einträge des beschädigten DCs - dcpromo #Ehemalig defekten DC wieder heraufstufen Alle Dienste und Freigaben werden ja nicht angefasst, oder? (DHCP + paar kleine Daten-Freigaben) Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 15. Juli 2014 Melden Teilen Geschrieben 15. Juli 2014 Richtig, das bleibt alles erhalten. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 15. Juli 2014 Melden Teilen Geschrieben 15. Juli 2014 Die Systemsicherung kannst Du Dir in dem Fall eigentlich sparen, aber ok - doppelt hält besser... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.